Barracuda Email Threat Radar November 2025

Venlo, 13 november 2025 – De afgelopen maand hebben onderzoekers van Barracuda verschillende opmerkelijke e-maildreigingen geïdentificeerd gericht op organisaties van over de hele wereld. Het gaat onder andere om:

* Nieuwe tools en tactieken binnen de Tycoon 2FA-phishingkit
* Onzichtbare tekens die de Cephas-kit helpen om detectie door beveiligingssystemen te omzeilen
* Een geavanceerde aanval waarbij steganografie (malware die in afbeeldingen wordt verborgen) wordt gebruikt

Nieuwe technieken in de Tycoon-toolkit
Tycoon 2FA is een beruchte en succesvolle phishingkit die al sinds augustus 2023 actief is en nog steeds een ernstige dreiging vormt voor organisaties. De kit is ontworpen om inloggegevens te stelen van Microsoft 365- en inmiddels ook van Google Workspace-accounts, door medewerkers te verleiden hun wachtwoorden en tweestapsverificatiecodes prijs te geven.

Wat Tycoon bijzonder gevaarlijk maakt, is de voortdurende ontwikkeling van de toolkit. Elke nieuwe versie bevat subtiele maar slimme aanpassingen die detectie door traditionele beveiligingssystemen bemoeilijken.

De onderzoekers van Barracuda zagen onder andere de volgende recente aanpassingen:
* CAPTCHA challenges: Tycoon gebruikt nu verschillende soorten CAPTCHA-tests, zoals beeldpuzzels of “pres and hold”-controles, om legitiem over te komen en geautomatiseerde beveiliging te vertragen.
* Realistischere URL’s: De nieuwste webadressen bootsen echte inlogprocessen na, inclusief OAuth2-achtige links en unieke codes, waardoor ze moeilijker te onderscheiden zijn van echte pagina’s.
* Gecomprimeerde code: Phishingsites maken gebruik van LZString-compressie om grote delen van de code te verbergen. De code wordt pas uitgepakt en uitgevoerd in de browser van het slachtoffer, wat detectie verder bemoeilijkt.
* Dynamische uitvoering: De verborgen code wordt pas volledig actief nadat de pagina is geladen, zodat de aanval onder de radar blijft.

Tips om je hiertegen te beschermen: Gebruik gelaagde beveiliging met anti-phishingtools, adaptieve authenticatie en continue monitoring. Dit helpt bij het herkennen van interceptie-aanvallen, zoals ‘adversary-in-the-middle’ (AiTM)-tactieken die door Tycoon worden ingezet.

Cephas-kit gebruikt onzichtbare tekens om detectie te ontwijken
De Cephas-phishingkit, voor het eerst gezien in augustus 2024, valt op door zijn broncode vol verwijzingen naar astronomie en bijbelteksten.

Wat deze kit bijzonder maakt, is een unieke verhullingstechniek. Cephas verhult zijn code met willekeurige, onzichtbare tekens die anti-phishing scanners en YARA-regels in de war brengen, waardoor de code moeilijk te analyseren en te herkennen is.

Tips om je hiertegen te beschermen: Schakel multifactorauthenticatie (MFA) in voor alle gebruikers, vooral bij cloudservices zoals Microsoft 365. Gebruik waar mogelijk phishingbestendige methoden, zoals hardware security keys, in plaats van sms- of app-codes.

Verborgen malware in afbeeldingen om detectie te voorkomen
Steganografie is een geavanceerde aanvalstechniek waarbij schadelijke data wordt verborgen in ogenschijnlijk onschuldige bestanden, zoals afbeeldingen. In tegenstelling tot versleuteling, die de inhoud verbergt, verbergt steganografie het bestaan van de data zelf – wat detectie bijzonder lastig maakt.

Barracuda’s onderzoekers hebben recent een phishingcampagne ontdekt die deze methode gebruikt.

De aanval begint met een e-mail die lijkt op een legitiem zakelijk bericht, bijvoorbeeld een bestelling of prijsaanvraag. In werkelijkheid bevat de e-mail een link naar een zogenaamd gedeeld bestand op een vertrouwd platform. Achter deze link schuilt echter een verhuld JavaScript-bestand dat, zodra het wordt geopend, verborgen code uitvoert.
Deze code start een PowerShell-commando dat een PNG-afbeelding downloadt van een legitieme website. In deze afbeelding zit de echte malware verborgen, gecodeerd op een manier die beveiligingssoftware niet kan detecteren.

De malware blijft onzichtbaar door gebruik te maken van meerdere technieken:
* Verwarrende bestandsnamen en versleutelde tekstfragmenten
* Achtergrondprocessen zonder zichtbare vensters
* Uitvoering vanuit het werkgeheugen, zonder sporen op de schijf

Tips om je hiertegen te beschermen: Wees alert op ongebruikelijk grote mediabestanden, dubbele inhoud, of onverwacht uitgaand verkeer naar onbekende domeinen. Gebruik geavanceerde e-mailbeveiliging op basis van multi-modale AI die niet alleen tekst, maar ook URL’s, documenten, afbeeldingen en QR-codes analyseert. Blokkeer standaard macro’s in documenten en beperk de toegestane bestandstypen voor e-mail en webuploads.

Over Barracuda
Barracuda is een vooraanstaand cybersecuritybedrijf dat volledige bescherming biedt tegen complexe dreigingen. Het Barracuda-platform beschermt e-mail, data, applicaties en netwerken met innovatieve oplossingen en een managed XDR-service die de cyberweerbaarheid versterken. Honderdduizenden IT-professionals en managed service providers over de hele wereld vertrouwen op Barracuda om ze te beschermen en te ondersteunen met oplossingen die makkelijk aan te schaffen, uit te rollen en te gebruiken zijn. Kijk voor meer informatie op www.barracuda.com.

Contactpersonen voor de pers
Stark Narrative, Barracuda Networks Persdesk, e-mail barracuda@starknarrative.com, tel. 020 794 4735.

Barracuda Networks, Barracuda en het Barracuda Networks-logo geregistreerde handelsmerken van Barracuda Networks in de VS en in andere landen.

Indien u niet langer persberichten en andere persinformatie van Barracuda Networks wenst te ontvangen, stuur dan een e-mail aan barracuda@starknarrative.com.